Incidentdetails
Wählen Sie beliebige Incidents aus, klicken Sie auf die Schaltfläche Aktionen oder auf die drei Punkte
und dann auf Details anzeigen.
Übersicht – Übersicht über den Incident, enthält folgende Informationen:
•Incidentdetails, wie sie im Hauptabschnitt angezeigt werden.
oSchweregrad: Niedrig, Mittel oder Hoch
oStatus: Offen – Der Incident ist offen oder wurde von einem Security Administrator oder einem anderen Benutzer erneut geöffnet. In Bearbeitung – Der Incident ist noch nicht abgeschlossen und wird derzeit untersucht. Geschlossen – Der Incident ist geschlossen.
oErstellungszeit
oAutor
oTags – Wählen Sie Tags aus der vorhandenen Liste aus und wenden Sie sie auf einen Incident an oder erstellen Sie neue benutzerdefinierte Tags.
•Auswirkungen auf das Unternehmen – Anzahl der betroffenen Computer, Identitäten, ausführbaren Dateien und Prozesse. Klicken Sie auf die Zahl, um zur entsprechenden Seite zu gelangen.
•Kommentare – Fügen Sie einen Kommentar zum Incident hinzu. Klicken Sie auf Alle Kommentare anzeigen, um alle erstellten Kommentare anzuzeigen. Sie haben die Optionen Kommentar bearbeiten, Kommentar anheften und Kommentar löschen zur Auswahl.
•Beschreibung – Erläuterung des Incidents.
•MITTRE ATT&CK® Techniken – Verfügbare MITTRE ATT&CK Techniken für den ausgewählten Incident.
•Empfohlene Schritte – Von der KI empfohlene Schritte zum Auslösen der Reaktion auf den Incident. Klicken Sie auf einen empfohlenen Schritt, um eine Behebungsaktion auszuführen. Aktionen, die nicht direkt behoben werden können, können als erledigt markiert oder als nicht erledigt markiert werden.
Diagramm – Öffnet die Struktur des Incidentdiagramms bestehend aus Indikatoren im Verbund- oder hierarchischen Layout. Das Diagramm enthält ein Bedienfeld mit Schaltflächen zur schnellen Orientierung – Leiste zum Herein- und Herauszoomen, Bildschirmanpassung, Ansicht zurücksetzen und Info-Tooltip mit Verknüpfungen.
Das Diagramm besteht aus Knoten. Im Diagramm können Sie auf alle weißen Knoten klicken, um detaillierte Informationen im Seitenbereich anzuzeigen. Details der grauen Knoten sind nicht einsehbar. Bestimmte Knoten enthalten ein Menü mit Aktionen: Details anzeigen, Details in neuem Tab anzeigen, Scannen und säubern, Vom Netzwerk isolieren, Erweiterte Suche.

Ein Pfeil zwischen Knoten stellt die Beziehung zwischen verschiedenen Knotentypen dar, zum Beispiel:
oBenutzer → ANGEMELDET → Computer
oBenutzer → FÜHRT AUS → Prozess
oÜbergeordneter Prozess → SUBPROZESS → untergeordneter Prozess
Sie können die Zeitleiste des Incidentdiagramms im Bedienfeld verwenden, um den Zustand des Diagramms auf den Anfang zurückzusetzen, vorwärts zu springen oder den ausgewählten Zeitraum des Diagramms wiederzugeben.
Sie können Gruppen von Indikatoren nach ihrem Schweregrad auswählen. Wenn Sie auf die Gruppe der Indikatoren klicken, wird ein Teildiagramm hervorgehoben. Das Teildiagramm besteht nur aus der Gruppe der ausgewählten Indikatoren mit dem ausgewählten Schweregrad. Wenn Sie mit dem Mauszeiger über die Indikatoren in der Tabelle fahren, werden die entsprechenden Objekte im Diagramm hervorgehoben.

Indikatoren – Liste der Indikatoren. Klicken Sie auf einen Indikator, um Details anzuzeigen. Optional können Sie die Details in einem neuen Tab öffnen. Klicken Sie dazu auf
> Details in neuem Tab anzeigen.
Sie können eine Prozessstruktur mit Prozess- und Indikatorknoten öffnen:

Indikatordetails für Indikatoren und Prozesse sind für Incidents verfügbar, die nach dem ESET PROTECT Release-Update 6.4 (1. August 2025) erstellt wurden. Wenn Sie über Incidents verfügen, die vor dem ESET PROTECT Release-Update 6.4 erstellt wurden, werden Sie zur Cloud ESET Inspect Konsole weitergeleitet, wo Sie weitere Informationen erhalten. |
Mit der Prozessstruktur können die Benutzer durch den Indikator navigieren. Klicken Sie auf einen Prozessknoten (abgerundete Knoten) oder einen Indikatorknoten (rechteckige Knoten) in der Prozessstruktur, um Details je nach Datenverfügbarkeit anzuzeigen:
Betroffene Computer – Eine Liste der betroffenen Computer.
Betroffene Identitäten – Eine Liste der betroffenen Benutzer. Wenn Sie auf die Schaltfläche mit den drei Punkten
klicken, können Sie Benutzer aktivierenoder deaktivieren, Benutzerkennwörter zurücksetzen, Sitzungen widerrufen > Benutzer von zugeordneten Geräten in AD abmelden. Sie können XDR-Tasks als Abwehrreaktion auf Incidents erstellen.
Prozesse – Eine Liste der Prozesse, die von der ausführbaren Datei gestartet wurden. Wenn Sie auf die drei Punkte
klicken, haben Sie folgende Optionen zur Auswahl:
•Details anzeigen – Weiterleitung zum Prozessbaum mit zusätzlichen Details.
•Details in neuem Tab anzeigen – Weiterleitung zum Prozessbaum mit Details in einer neuen Registerkarte.
•Prozess beenden – Beendet den Prozess, falls er noch im Arbeitsspeicher aktiv ist.
•Erweiterte Suche – Weiterleitung zum Bereich Erweiterte Suche mit Filterung nach related.hash.
•Ausführbare Datei herunterladen – Ausführbare Datei zur weiteren Untersuchung herunterladen.
•An ESET LiveGuard übermitteln – Datei manuell bei ESET LiveGuard einreichen.
Ausführbare Dateien – Eine Liste ausführbarer Dateien. Wenn Sie auf die drei Punkte
klicken, haben Sie folgende Optionen zur Auswahl:
•Details anzeigen – Weiterleitung zu den Details der ausführbaren Datei.
•Details in neuer Registerkarte anzeigen – Weiterleitung zu den Details der ausführbaren Datei in einer neuen Registerkarte.
•Ausführbare Datei blockieren
•Ausführbare Datei blockieren und bereinigen
•Erweiterte Suche – Weiterleitung zum Bereich Erweiterte Suche.
•Ausführbare Datei herunterladen – Ausführbare Datei zur weiteren Untersuchung herunterladen.
Zeitleiste des Incidents – Zeitleiste mit einer kurzen Historie des Incidents vom auslösenden Ereignis bis zum Abschluss des Incidents. Unter Umständen sind folgende Optionen verfügbar:
•Status ansehen
•auf ein Objekt klicken, um Details anzusehen
•auf eine Abwehrmaßnahme (außer „Blockieren“ und „Blockieren und säubern“) klicken, um die Registerkarten Zusammenfassung, Ausführungen, Trigger und Ausführungsdetails mit den entsprechenden Details zu öffnen, falls verfügbar
In jedem Abschnitt können Sie auf die Schaltfläche Aktualisieren
klicken, um die Seite zu aktualisieren.
Klicken Sie auf die Schaltfläche Reagieren auf einen Incident, um betroffene Objekte auszuwählen und Abwehrreaktionen zu definieren. Wählen Sie eine Abwehrreaktion (Isolieren, Benutzer abmelden, Neu starten, Scannen und säubern) aus und klicken Sie auf Bestätigen.
oComputer > Weiter > Abwehrreaktion auswählen (Isolieren, Benutzer abmelden, Neu starten, Scannen und säubern) > Bestätigen.
oIdentitäten > Weiter > Abwehrreaktion auswählen
oProzesse > Weiter > Abwehrreaktion auswählen (Prozess beenden) > Bestätigen.
oAusführbare Dateien > Weiter > Abwehrreaktion auswählen (Blockieren, Blockieren und säubern) > Bestätigen.